240 likes | 341 Views
A indústria dos BotNets e os crimes cibernéticos. Yuri Diogenes Senior Technical Writer Server and Cloud Division iX Solutions - Solutions Mestrando em Cybersecurity e Inteligência Forense (UTICA) CISSP, CASP, Security+, E|CEH , E|CSA , CompTIA Cloud Essentials Certified. Agenda.
E N D
A indústria dos BotNets e os crimes cibernéticos Yuri Diogenes Senior Technical Writer Server and Cloud Division iX Solutions - Solutions Mestrando em Cybersecurity e Inteligência Forense (UTICA) CISSP, CASP, Security+, E|CEH, E|CSA, CompTIACloud Essentials Certified
Agenda • O que é um BotNet? • Como o sistema é infectado • Estudo de caso: Win32/Zbot • Estudo de caso: Win32/Rustock • Crimes com uso de Botnets • Qual seu papel neste cenário? • Referências
O que é um BotNet? • É uma rede de computadores comprometidos que pode ser usada de forma ilícita e secreta por um ou mais indivíduos para fins maliciosos • Os computadores que fazem parte de um botnet são também chamados de bots, robots, nós ou zumbis
Como o sistema é infectado? • Geralmente a infecção do sistema ocorre através dos seguintes ataques: • Spam • Phishing • Drive by download attack • Um exemplo de um computador infectado e como a vítima ia ser extorquida pode ser encontrado em http://yuridiogenes.wordpress.com/2013/02/27/uma-ligao-no-meio-da-noite/
Características • Win32/Zbot kit consiste de um componente construtor que é usado para criar o malware para distribuição • O Win32/Zbot tem uma arquitetura Cliente/Servidor que requer um Servidor de C&C (Command and Control) para onde o Bot se conecta para receber instruções • O kit de construção do Win32/Zbot pode ser obtido no Black Market
Operação • Algoritmo gera uma lista de nome de domínios pseudo randômicos a qual o bot vai tentar se conectar em momentos diferentes • O operador do botnet usa o mesmo algoritmo para gerar a lista de nomes que serão registradas e o IP apontará para o C&C na data que o Bot está agendado para se conectar com o C&C
Ataque • Entre os vários métodos (spam, phishing, etc) usados um outro muito comum é o de SQL Injection para realizar upload de exploitcode • Quando o sistema é comprometido e o Win32/Zbot é executado no destino ele faz uma cópia dele mesmo para %system% ou %appdata% • Após isso começa a se inserir em vários processos do sistema (geralmente winlogon.exe e explorer.exe), sendo executado assim no contexto destes processos • Depois de se proliferar no sistema ele contata o C&C para receber instruções do que fazer Microsoft Confidential
O que foi comprometido? • Este bot é muito perigoso pois pode realizar as seguintes operações: • Retirar screenshot de sites de banco • Obter dados HTML do usuário • Redirecionar o usuário para sites falsos que parecem legítimos • Roubar credenciais • Modificar configurações do sistema e fazer download de binários comprometidos Microsoft Confidential
Estatísticas • Detecção do Win32/Zbot por mês
Características • Da família de rootkit que gera backdoortrojan • Rootkit inicialmente criado para ajudar na distribuição de SPAM • Os principais componentes são criptografados
Componentes • Dropper é executado em Modo usuário e é responsável por descriptografar (RC4) e baixar o rootkitdriver • O dropper também é responsável por contatar o C&C • Antes de infectar o computador o dropper verifica uma chave de registro para saber se o Rustockrootkit já está instalado • O instalador do driver é executadoem modo kernel como um drivede sistema do Windows • Geralmente troca arquivos comobeep.sysornull.sys por copiascom Rustock
Ataque • Os computadores infectados eram usados como bot para reenvio de spams com intuito de infectar outros computadores • Algumas versões do Rustock usavam um SMTP customizado (botdll.dll) para envio de emails • Diferente de outros malwares (como o Win32/Lethic), o Rustock enviava spam para um usuário por vez
Evolução do Ataque • Microsoft DCU (Digital Crime Unit) em conjunto com o MMPC (Microsoft MalwareProtection Center) fez um teste com um sistema infectador por Win32/Harning (Dropper do Rustock) e em 5 minutos os seguintes malwares foram detectados
Estatísticas • Detecção do Win32/Rustock (Outubro 2008 a Maio 2011)
Takedown • Em 2010 Microsoft entrou com um processo contra os operadores do Rustock • Vários discos usados no C&C do Rustock foram confiscados para análise forense • Várias evidencias foram encontradas nos discos
Como botnets eram usados para crimes cibernéticos? • Venda de drogas (remédios) falsificados (como Pfizer e Viagra) • Email publicava anuncio da droga e infectava o computador de destino
Além do Crime • O problema vai além do crime pois muitos botnets movimentam um mercado ilegal de falsificação de drogas • Não apenas as informações de cartão de crédito são roubadas, mas o indivíduo recebe a medicação falsa Exemplo de uma fábricaclandestina usada parafabricar drogas vendidasatravés dos SPAMSgerados pelo Rustock
O que devo fazer? • Comece valorizando o básico: • Não use software pirata • Mantenha o sistema operacional sempre atualizado (use o Windows Update) • Mantenha o antivírus atualizado • Assegure que outros softwares instalados no seu computador (como o Adobe) também estejam atualizados • Não abra e-mail suspeito, não é por que o anti-spam deixou passar que o e-mail necessariamente é válido • Evangelize sua comunidade em tudo que foi recomendado acima
Referências • Taking Down Botnets: Microsoft and the Rustock Botnet • Microsoft and Financial Services Industry Leaders Target Cybercriminal Operations from Zeus Botnets • Deactivating botnets to create a safer, more trusted Internet • Anatomy of a Botnet Report • Botnet Business Booming • Microsoft SIR Microsoft Confidential
Contato Twitter: @yuridiogenes Blog (ENG): blogs.technet.com/yuridiogenes Blog (PT-BR): yuridiogenes.wordpress.com